Problème avec surfsidekick

pepi · le 2 septembre 2006

Merci pour votre aide . c'est vraiment une chance de vous avoir!

J'ai eu les symptomes propres de ce virus recalcitrant :publicités intempestives en permanence , faux centres de sécurité et faux antivirus etc. le problème c'est qu'aprés avoir suivi vos conseilles de desinfection(antivir aviva, spybot et af cleaner) le virus revient systematiquement ,impossible d'enlever cette plaie. Je vous joint plus bas le rapport hitjackthis car à chaque fois que j'elimine les fichiers surfside ils reviennent quoi que je fasse. Pouvez vous m'indiquer ce que ja pourrai faire? Merci beaucoup

Logfile of HijackThis v1.99.1

Scan saved at 13:08:57, on 01/09/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - C:\Program Files\SurfSideKick 3\SskBho.dll

F2 - REG:system.ini: Shell=Explorer.exe wkssvr.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,wkssvr.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [surfSideKick 3] C:\Program Files\SurfSideKick 3\Ssk.exe

O4 - HKLM\..\RunServices: [Windows Kernel System Service] wkssvr.exe

O4 - HKCU\..\Run: [surfSideKick 3] C:\Program Files\SurfSideKick 3\Ssk.exe

O4 - HKCU\..\RunServices: [Windows Kernel System Service] wkssvr.exe

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O16 - DPF: {9E214F45-89C2-4DE3-94A9-530EB1D05F7E} - http://www.quest3d.com/Quest3D_WebInstall.cab

O20 - AppInit_DLLs: repairs303169590.dll

O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\

O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\o6pqlg7516.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Gof · le 2 septembre 2006

Bonjour pepi

Messages: 1

Bienvenue sur les forums de Zebulon

Quelques liens pour t'aider à commencer dans l'utilisation de ce forum :

Tu es bien infecté en effet. Commence par appliquer cette procédure préliminaire. Un membre de l'Espace sécurité, un junior ou moi-même s'occupera alors de toi :

J'attire ton attention sur le paramétrage d'Antivir qui est important, sur le placement et le renommage de Hijackthis.exe

Phase 1

Fais un copier-coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion ; ou sauvegarde cette page via ton navigateur pour conserver la mise en page (Fichier>Enregistrer sous)
Télécharge Antivir
Installe Antivir : Il est impératif de le configurer correctement afin de faire la meilleure analyse possible,
consulte le tuto suivant (imprime la ou sauvegarde la comme indiqué plus haut) => Tutoriel de tesgaz
Rends-toi à l'étape: Configuration du tutoriel de tesgaz. Dans ce paragraphe , seule la partie suivante nous intéresse:Configuration du scanner et ses sous parties : "action on malware" - "Heuristic" - "Archives". Note: il est inutile de configurer la fonction "Guard" décrite dans la partie "Configuration Guard".
Si tu désires conserver Antivir une fois la procédure de prénettoyage terminée (parce que tu n'as pas d'antivirus par exemple), il te faudra suivre le tutoriel en entier pour pouvoir bénéficier de la protection résidente !
Précisions importantes -> le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure a reposé sur les critères suivants :
- failles de ton antivirus qui a laissé passer des malwares
- Antivir peut-être installé et désinstallé facilement
- Antivir est reconnu pour son efficacité en mode sans échec
- le tutorial de tesgaz permet de le paramétrer sans problème.
Télécharge la dernière version d'HijackThis ici ou ici (en cas d'indisponibilité!)

Phase 2

Redémarre le PC, impérativement en mode sans échec.
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuie sur [Entrée].
NB : en cas de problème pour sélectionner le mode sans échec, applique la procédure de Symantec=>
Comment démarrer l'ordinateur en mode sans échec
A l'ouverture de session, choisis la session courante (ta session habituelle) et non celle de l'administrateur.

Phase 3

Nettoyage rapide du disque dur : Menu Démarrer>Exécuter, tape CleanMgr et valide.
Cette fonction cleanmgr génére parfois un bug sous système Windows 2000.
Affiche tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=>
-Active la case : "Afficher les fichiers et dossiers cachés"
-Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
-Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
-Puis clique sur "Appliquer".
Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.
Complète le nettoyage cleanmgr par un nettoyage succint manuel => suppression de tous les fichiers contenus dans les dossiers :
-C:\TEMP
-C:\WINDOWS\TEMP
-C:\Documents And Settings\Session utilisateur\Local Settings\Temp
-C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files
-Vider la corbeille
Recherche et élimination des parasites avec Antivir=>
lance une analyse complète du, ou des disques dur, et supprime tous les fichiers infectés (s'ils existent)
Sauvegarde le rapport!
Désinstallation d'Antivir(si tu ne souhaites pas le conserver)=> termine les processus suivants dans le gestionnaire des tâches (fais Ctrl+Alt+Suppr pour ouvrir la fenêtre puis clique sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE
Puis, désinstalle Antivir dans ajout/suppression de programmes.
Redémarre le PC en mode normal
Installation et utilisation d'HijackThis=>
Crée un nouveau dossier à la racine de ton disque dur :
C:\Program Files\HijackThis
Double-clique sur poste de travail / double-clique sur l'icone de C / double-clique sur le répertoire Program Files / Fais un clic-droit dans la fenêtre et choisis "nouveau dossier" ; nomme le "HijackThis".
Décompresse le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis. Renomme Hijackthis.exe en [ton pseudo sur zebulon].exe (n'insère pas d'espaces, de ponctuations ou de caractères accentués dans le nom) ; crée un raccourci sur le bureau.
Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
Arrête tous les programmes en cours et ferme toutes les fenêtres
Exécute HijackThis (renommé) à l'aide du raccourci et clique sur le bouton "Do a system scan and save a logfile"
Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran.

Phase 4

Ouvre le rapport HijackThis précédemment sauvegardé et fais : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que tu as crée dans le forum Analyse rapports HijackThis, Eradication malwares de manière à ce qu'un "helper" te dise ce qu'il faut faire. Puis fairs de même avec le rapport antivir.
Attends l'analyse et la réponse. Les intervenants sont des bénévoles et prennent sur leur temps par passion, ne t'impatiente pas au bout de quelques minutes si tu n'as pas eu de réponses

Je te demanderais d'ajouter aux deux rapports déjà demandés celui-ci :
Exécute Hijackthis :
Clique sur "Open the misc tools sections"
Clique sur "Open uninstall Manager"
Clique sur "Save list"
Enregistre le fichier > Une fenêtre du bloc-notes va s'ouvrir, copie-colle le contenu dans ton prochain post.

[auteur de la méthode : Megataupe / New canned par Charles Ingals / + Modifications perso]

Bon courage

pepi · le 2 septembre 2006

je te remercie Gof de ta reponse rapide je vais essayer d'avancer et je te tiendrai au courant

Gof · le 2 septembre 2006

Dans ton cas, tu n'as évidemment pas besoin de retélécharger Antivir et Hijackthis. Il faut juste t'assurer de suivre la préprocédure, de ne pas désinstaller Antivir (puisqu'il s'agit de ton Antivirus quotidien), et de renommer Hijackthis comme indiqué.

Reviens vite qu'on attaque la désinfection, elle est plutot coriace.

pepi · le 2 septembre 2006

Bonjour aprés avoir suivi les conseils de gof voila mes résultats:

merci de votre aide

-Malgré reconfig antivir ,il laisse passer surf side kick sans le detecter comme virus

-Cleanmgr ne marche pas

Spybot idéntifie le virus mais n'arrive pas à eliminer tout et ne se lance pas lors du redemarrage

Pour le restt voici mon rapport antivi, hijackthis renomé et listeunistall manager

AntiVir PersonalEdition Classic

Report file date: samedi 2 septembre 2006 21:59

Scanning for 493460 virus strains and unwanted programs.

Licensed to: AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (plain) [5.1.2600]

Username: François

Computer name: FRANCOIS

Version informations:

AVSCAN.EXE : 7.0.0.42 557096 28/08/2006 15:00:14

AVSCAN.DLL : 7.0.0.42 53288 28/08/2006 15:00:14

LUKE.DLL : 7.0.0.42 118824 28/08/2006 15:00:14

LUKERES.DLL : 7.0.0.42 25640 28/08/2006 15:00:14

ANTIVIR0.VDF : 6.35.0.1 7371264 28/08/2006 15:00:14

ANTIVIR1.VDF : 6.35.1.122 1270784 28/08/2006 15:00:14

ANTIVIR2.VDF : 6.35.1.175 144896 28/08/2006 15:00:14

ANTIVIR3.VDF : 6.35.1.177 5632 28/08/2006 15:00:14

AVEWIN32.DLL : 7.1.1.11 1827328 28/08/2006 15:00:14

AVPREF.DLL : 7.0.0.1 49192 28/08/2006 15:00:14

AVREP.DLL : 6.35.1.124 774184 28/08/2006 15:00:14

AVRPBASE.DLL : 7.0.0.0 2162728 28/08/2006 15:00:14

AVPACK32.DLL : 7.1.0.1 335912 28/08/2006 15:00:14

AVREG.DLL : 6.31.0.90 27688 28/08/2006 15:00:14

NETNT.DLL : 6.32.0.0 6696 28/08/2006 15:00:14

NETNW.DLL : 6.32.0.0 9768 28/08/2006 15:00:14

RCIMAGE.DLL : 7.0.0.71 1642536 28/08/2006 15:00:19

RCTEXT.DLL : 7.0.0.75 77864 28/08/2006 15:00:19

Configuration settings for the scan:

Jobname: '%s'.................: Local Drives

Configuration file............: C:\Program Files\AntiVir PersonalEdition Classic\alldrives.avp

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 1

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Skipped archive types.........: 1000,1001,1002,1003,1004,

Macro heuristic...............: 1

File heuristic................: 3

Primary action................: 1

Secondary action..............: 0

Start of the scan: samedi 2 septembre 2006 21:59

The scan over running processes will be started

18 Processes was scanned

Starting to scan the registry.

The registry was scanned ( 10 files ).

Starting the file scan:

C:\pagefile.sys